В связи с тем, что после недавних событий стали как грибы после дождя плодиться топики о том, как настроить свой jabber-сервер, я решил перечислить некоторые основные ошибки и заблуждения тех, кто настраивает jabber-сервер в первый раз. Речь пойдет про:
Да, эти записи опциональны согласно RFC 3920 и RFC 3921, но не раз встречались упоминания о том, что без этих записей возникают проблемы. Создать записи
Чтобы не быть голословным, скажу, что клиент Telepathy в одной из версии с настройками по-умолчанию не мог подключиться к серверу, если в DNS-зоне отсутствовала SRV-запись.
Подробнее в пункте 11.2 RFC 3921 и пунктах 14.3 и 14.4 RFC 3920.
Вы можете сказать «мы люди честные, нам шифровать нечего», но это не совсем так. Вспомните GMail — они принудительно используют шифрование при работе с почтой через IMAP или POP3. Вполне возможно, что при полном отсутствии какого-либо SSL-сертификата соединение между вашим сервером и GTalk не будет установлено. Также год назад XMPP-консулом была озвучена идея Trusted Federation, т.е. запрета незашифрованных соединений между серверами. Из всего этого следует, что SSL использовать стоит.
Пункт 14.2 RFC 3920 разрешает использование любых сертификатов, в том числе и самоподписанных сертификатов, которые зачастую устанавливаются по-умолчанию. Но также этот пункт гласит о том, что в случае самоподписанного сертификата клиент ОБЯЗАН выдать пользователю предупреждение о недостоверном сертификате — это, конечно же, верно с точки зрения безопасности, но пользователю радости не доставит. Итак, следовательно, стоит получить «нормальный» сертификат.
Если у вас нет собственного CA, которому доверяют все ваши пользователи или вы не желаете тратить несколько сотен долларов на приобретение SSL-сертификата у одного из известных CA, то можно воспользоваться ICA XMPP Foundation, получение SSL-сертификата для вашего jabber-сервера в данном случае бесплатно. Более того, заметное число популярных jabber-клиентов «доверяет» сертификатам, выданным XMPP ICA.
Основное заблуждение пользователей о транспортах звучит так:
P.S. кстати, jabber 4го января исполнилось 10 лет :-)
[1] Да, MX записи не обязательны. RFC 5321 это утверждает.
[2] Я не уверен, что для транспортов требуется прописывать SRV-записи. По логике — требуется, но нигде упоминания об этом я не встречал.
- SRV-записи
- SSL-сертификаты
- Заблуждения о транспортах
SRV-записи
Да, эти записи опциональны согласно RFC 3920 и RFC 3921, но не раз встречались упоминания о том, что без этих записей возникают проблемы. Создать записи
_xmpp-server._tcp.example.com и _xmpp-client._tcp.example.com не сложно, но это может избавить вас от головной боли. Не прописать SRV-записи для jabber-сервера это примерно то же самое, что не прописать MX-записи для почтового сервера, и то и другое не является строго обязательным[1], но от некоторых проблем спасает.Чтобы не быть голословным, скажу, что клиент Telepathy в одной из версии с настройками по-умолчанию не мог подключиться к серверу, если в DNS-зоне отсутствовала SRV-запись.
Подробнее в пункте 11.2 RFC 3921 и пунктах 14.3 и 14.4 RFC 3920.
SSL-сертификаты
Вы можете сказать «мы люди честные, нам шифровать нечего», но это не совсем так. Вспомните GMail — они принудительно используют шифрование при работе с почтой через IMAP или POP3. Вполне возможно, что при полном отсутствии какого-либо SSL-сертификата соединение между вашим сервером и GTalk не будет установлено. Также год назад XMPP-консулом была озвучена идея Trusted Federation, т.е. запрета незашифрованных соединений между серверами. Из всего этого следует, что SSL использовать стоит.
Пункт 14.2 RFC 3920 разрешает использование любых сертификатов, в том числе и самоподписанных сертификатов, которые зачастую устанавливаются по-умолчанию. Но также этот пункт гласит о том, что в случае самоподписанного сертификата клиент ОБЯЗАН выдать пользователю предупреждение о недостоверном сертификате — это, конечно же, верно с точки зрения безопасности, но пользователю радости не доставит. Итак, следовательно, стоит получить «нормальный» сертификат.
Если у вас нет собственного CA, которому доверяют все ваши пользователи или вы не желаете тратить несколько сотен долларов на приобретение SSL-сертификата у одного из известных CA, то можно воспользоваться ICA XMPP Foundation, получение SSL-сертификата для вашего jabber-сервера в данном случае бесплатно. Более того, заметное число популярных jabber-клиентов «доверяет» сертификатам, выданным XMPP ICA.
Заблуждения о транспортах
Основное заблуждение пользователей о транспортах звучит так:
нужно зарегистрироваться на сервере, где много транспортов.Это заблуждение, предположительно, культивируется тем, что большинство администраторов jabber-серверов либо запрещают доступ к своим транспортам с других серверов, либо просто забывают прописать соответствующие A и SRVcitation needed! [2] DNS-записи для своих транспортов и, таким образом, пользователи других сервером не имеют технической возможности использовать их.
P.S. кстати, jabber 4го января исполнилось 10 лет :-)
[1] Да, MX записи не обязательны. RFC 5321 это утверждает.
[2] Я не уверен, что для транспортов требуется прописывать SRV-записи. По логике — требуется, но нигде упоминания об этом я не встречал.
